(점점 높아지는) 사기 가능성: 비싱 증가 원인

그건 최첨단 AI 멀웨어도, 강력한 원격 코드 실행 취약점도 아닙니다.

그냥 전화 한 통이면 됩니다.

"우리는 고객사를 대상으로 소셜 엔지니어링 캠페인을 진행합니다. 고객사 헬프 데스크에 전화해, 우리가 직원을 사칭해서 그 회사의 비밀번호를 재설정할 수 있는지 확인하는 활동입니다." Carruthers는 설명합니다. "지금까지는 매번 성공이었습니다." 

IBM X-Force 팀의 일원으로서, Carruthers는 자신의 능력을 좋은 일에 사용하며 모의 공격을 실시하여 고객이 보안상의 결함을 파악하고 해결하도록 돕습니다. 

그런데 최근 몇 달 동안 악의적인 해커 상당수가 이른바 '보이스 피싱', 줄여서 '비싱'이라는 수법에 편승했습니다. 최근 발간된 CrowdStrike 보고서에 따르면 사기성 전화를 걸어 사람들이 민감한 정보를 알려주거나, 멀웨어를 설치하거나, 범죄자에게 돈을 송금하도록 유도하는 비싱 사기가 2024년에 442% 증가했습니다.

Carruthers를 비롯한 사이버 보안 전문가들은 위협 행위자들이 조직의 강화된 보안 통제를 우회할 방법을 모색함에 따라 비싱 인스턴스가 계속 급증할 것으로 예상합니다.

Carruthers는 말합니다. "사람들이 전화를 못 받게 하는 것보다는 이메일을 필터링하는 편이 훨씬 쉽습니다." 

사이버 보안 세계에서 공격자와 방어자는 오랫동안 군비 경쟁에 묶여 있었습니다. 공격자는 취약점을 파악해서 악용합니다. 방어자는 취약점에 대한 패치를 만들고 보호를 강화하여 앞으로 비슷한 공격을 당하지 않게 조치를 취합니다. 그 과정이 무한하게 반복됩니다.

그러나 보안 솔루션이 더욱 발전하고 보안 관행이 더욱 정교해지면서, 해커들은 악용 가능한 결함을 찾는 단계부터 더 많은 어려움을 겪고 있습니다. 

그에 따라 패치할 수 없는 대상, 즉 사람으로 관심을 돌리는 공격자가 늘어났습니다.

IBM® X-Force Threat Intelligence Index에 따르면 현재 사이버 범죄자들이 회사 네트워크에 침입하는 가장 일반적인 방법이 세 가지 있는데, 그 중 두 가지가 피싱과 유효한 사용자 계정 남용입니다. 

공격자는 정상 계정을 하이재킹하여 실제 사용자로 가장하고, 수평 이동과 권한 상승을 통해 많은 보안 조치를 우회합니다. 

그리고 한때는 모든 피싱 사기꾼이 이메일과 문자 메시지를 기본으로 활용했지만 스팸 필터가 고도화된 지금은 이런 수법의 효과가 크게 떨어집니다.

전화 통화는 이야기가 다릅니다. 

"요즘 일어나는 주요 데이터 유출 사고들을 살펴보면 사실 전화 한 통이 유출의 시작이었다는 것을 알 수 있습니다." Carruthers는 말합니다. "직원을 사칭한 사람이 헬프 데스크에 전화해 계정 비밀번호를 재설정해 달라고 요청하는 겁니다. 그 다음부터는 그 계정을 제어하면서 많은 시스템에 접근할 수 있습니다." 

서비스 제공업체는 전화 사기를 예방하기 위해 스팸 전화 필터를 출시했지만 이메일이나 문자 메시지 필터만큼 신뢰할 수는 없습니다. 

게다가 BYOD(Bring Your Own Device) 프로그램의 인기 덕분에 직원들이 개인 스마트폰을 업무에 사용하는 경우가 많아졌습니다. 예를 들어 이런 기기에 대해서는, 회사 이메일 계정에 비해 조직이 통제할 수 있는 범위가 훨씬 좁습니다.

그러나 비싱이 가장 위험한 점은 피해자가 전화를 받았을 때 다른 사람이 거의 개입할 수 없다는 것입니다. 

전화 통화 중에는 이메일을 쓸 때처럼 서두르지 않고 면밀히 사정을 알아볼 기회가 주어지지 않습니다. 사기꾼들은 이 사실을 악용하여 조급한 마음을 부추기고 피해자에게 질문과 정보를 퍼붓습니다. 피해자는 대화를 멈추고 앞뒤가 맞는지 생각해볼 여유가 없습니다.

이 모든 요인으로 인해 비싱은 놀라운 효과를 보입니다. Carruthers는 피플 해커이자 DEF CON의 Social Engineering Community Vishing Competition(SECVC) 진행자 중 한 명이었던 경험을 통해 이 사실을 직접 배웠습니다.

이 대회는 14개 팀이 청중 앞에서 방음 부스에 들어가 실시간으로 보이스 피싱을 하면서, 어느 팀이 목표를 가장 많이 달성하는지 겨루는 자리입니다. 

"'우리가 이 소셜 엔지니어링 분야에서 얼마나 대단한지 보여주려는 목적이 아닙니다" Carruthers는 설명합니다. "소셜 엔지니어링이 얼마나 사회에 만연한지, 실제로 어떻게 발생하는지 보여주기 위합입니다. 많은 사람이 이메일 기반이라고만 생각하고, 전화 통화가 얼마나 성공적이었는지는 잊어 버립니다."

최근 열린 대회에서는 모든 팀이 목표를 일부라도 달성했다고 합니다. 즉, 어떤 정보를 빼내거나 타인이 위험한 행동을 취하도록 만들었다는 의미입니다.  

다시 말해 비싱 사기는 항상 표적으로부터 어느 정도 성공을 거두는 것으로 보입니다. 누구도 완벽하게 대응할 수 없습니다. 

Carruthers는 X-Force의 일원으로서 많은 조직이 보안 인식 교육을 개선하도록 지원했습니다. 그녀의 경험에 따르면 대부분의 교육 프로그램이 비싱 사기를 전혀 다루지 않습니다. 다룬다고 해도 '전화로 비밀번호를 알려주지 마세요' 정도의 두루뭉술한 조언이 전부입니다.

"다 방법이 있습니다." Carruthers는 말합니다. "전화로는 비밀번호를 묻지 않습니다. 이 웹사이트에 들어가셔서 ID와 비밀번호를 입력하세요. 저에게는 알려주지 마세요. 보안상 안전하지 않으니까요."

물론 그 웹사이트는 Carruthers 또는 더 악랄한 진짜 위협 행위자의 지배 아래 있고, 이제 여러분의 로그인 정보는 사기꾼의 손에 들어갔습니다.

전화 통화는 해킹 관점에서 고차원적인 기술이 아닐 수도 있지만 해커들은 분명 미래지향적인 방식으로 전화를 사용하기도 합니다. 

영상과 사람의 목소리를 생성할 수 있는 인공 지능(AI) 도구가 나오면서 사기꾼들은 실제 인물을 그럴 듯하게 모사한 딥페이크를 만들어서 고도로 표적화된 공격을 할 수 있게 되었습니다.

"매주 CEO가 보내는 영상 메시지를 보는 사람이 있다고 합시다. 해커는 주간 메시지를 자신이 원하는 버전으로 만들어서 특정 작업을 수행하도록 요청할 수 있습니다. 이걸 알아보시겠어요?"

지난 여름, 한 사기꾼은 Palo Alto Networks 보안 연구원의 딸 목소리를 흉내내서 그를 속이려 시도했습니다. 

생성형 AI가 진화함에 따라 최악의 경우 자율적이고 대규모로 확장 가능한 비싱이 운영될 것을 우려하는 사람들도 있습니다. 

이는 추측이지만 사실에 근거를 두었습니다. Carruthers 본인도 AI 기반 사기꾼과의 대결에서는 간신히 승리를 거뒀습니다.

지난해 DEF CON에서 처음 열린 John Henry Competition에, Carruthers는 파트너와 함께 인간을 대표해 출전했습니다. 대회 이름은 강철 주행 대회에서 증기 동력 착암기를 이긴 미국 국민 영웅에게서 가져왔습니다. 두 사람의 상대는 비싱 사기를 위해 특별히 제작된 음성 합성 기능 AI 챗봇이었습니다.

이 대회의 목표는 비싱 통화를 연이어 하면서 최고 득점자를 올리는 것이었습니다. 

Carruthers는 이렇게 회상합니다. "저는 우리가 확실하게 이길 거라고 생각했습니다. AI 음성은 말을 더듬거나 이상한 질문을 하기 시작할 테니까요. 뭐라도 잘못되겠죠."

뭔가 잘못되긴 했다. 다만, 그 주인공은 봇이 아닌 Carruthers였다.

"봇이 전화를 걸기 시작한다는 소식을 듣고, 이건 아닌데 싶었어요." 

Carruthers의 말에 따르면 챗봇은 통화마다 다른 전술과 음성을 '환상적'으로 구사했다. 사람들의 시스템에 대한 정보를 수집하고 특정 웹사이트를 방문하는 등의 행동을 취하도록 유도하기까지 했습니다.

"인간 운영자의 관점에서 생각해 보세요. "한 걸음 물러서서 컴퓨터가 이 모든 일을 하도록 내버려 둘 수 있다면 정말 끔찍할 것입니다." 

John Henry가 그랬던 것처럼 인간은 승리를 거뒀지만 쉬운 승부는 아니었습니다(그리고 전설 속 Henry가 자동 드릴을 이긴 뒤 지쳐서 숨을 거두었던 것과 달리, Carruthers와 파트너는 잘 살아있습니다.).

하지만 언젠가는 승리하지 못할 수도 있습니다.

"이 대회를 매년 하다 보면 AI가 인간을 앞지르는 날이 분명 올 겁니다." Carruthers는 말합니다.

비싱 사고가 계속 증가할 것으로 예상되는 상황에서 조직은 방어를 강화해야 합니다. 비싱의 특성을 감안할 때, 직원 개개인이 보이스 피싱 전화를 더 잘 알아차리고 대응할 수 있게 하는 데 초점을 맞춰야 합니다.

“공격자에게는, 피해자가 빠르게 행동하는 것이 관건입니다. 그러니 속도를 확실하게 늦추고 자신이 받고 있는 모든 유형의 의사소통을 최대한 돌아보세요."

비싱 전화에서는 피해자에게 긴급한 문제를 신속하게 처리해야 한다고 다그치곤 합니다. Carruthers가 지적했 듯 정상적인 기업은 아무리 긴급한 상황이라도 검증에 필요한 시간을 기다릴 수 있습니다. 

5분 안에 돈을 보내지 않는다고 여러분의 계정을 해지할 업체는 어디에도 없습니다. CEO는 여러분이 자세한 문의를 할 수 없을 정도로 다급하게 쇼핑몰 상품권을 필요로 하지 않습니다. 

검증 측면에서는, AI 복제 기술이 등장하면서 음성 기반 검증이 사실상 무용지물이 되었습니다. 

"어떤 사람이 전화를 걸어와서 우리 할머니라고 한다고 생각해 보세요. 전화번호는 정확하고 목소리도 우리 할머니가 맞아요. 하지만 앞뒤가 맞지 않습니다. 할머니가 도움이 필요하다며 돈을 송금해 달라고 합니다. 제가 뭘 어째야 하나요?"

Carruthers는 친구, 친척을 비롯해 주변 사람들과 암호를 정해 둘 것을 권장합니다. 공식적인 암호일 필요는 없습니다. 최근 상대방이 나에게 추천했던 책 등, 당사자만 알 수 있는 개인 정보도 좋습니다(Ferrari 임원 한 명은 작년에 이 전술을 사용해서 AI 비싱 사기를 막았습니다.).

기업 보안 팀의 대규모 업무에서는 책 추천으로 상대방을 검증할 수 있을 만큼 모든 직원과 개인적으로 친분을 쌓을 수 없습니다. 그 대신 비밀번호 재설정, 인보이스 지불 같은 모든 요청에 대해 여러 증명 지점을 사용하여, 발신자의 신원을 확인하는 다계층 인증 프로세스를 구축할 수 있습니다.

“인증에 사용하는 계층이 많을수록 좋습니다.” Carruthers는 말합니다. “목소리, 생년월일, 고향 등 등 쉽게 찾거나 위조할 수 있는 정보는 사용하지 마세요.”

Carruthers가 본 독특하고 조작하기 어려운 요소로는 번갈아가며 사용하는 회사 암호, 인사팀에서 보증하게 하는 것, 사전 등록된 장치에 일회용 암호를 보내는 것 등이 있습니다.

(사전 등록을 하지 않으면 사기꾼이 자신이 제어하는 번호만 제공할 수 있습니다.)

조직은 어떤 요소를 선택하든 둘 이상을 사용해야 합니다.

Carruthers는 말합니다. "어떤 고객사는 회사 암호를 번갈아가며 사용했는데, 저희는 소셜 엔지니어링을 통해 누군가로부터 그 단어를 입수했습니다. 그래서 그 회사를 뚫을 수 있었어요." 때문에 여러 수단을 준비해 두는 것을 좋아합니다."